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Abstract (Basic) : DE 19511298 A 

The method could use a three-branch tree with two branching levels, 
such that the keys for the branches K (2,i) are stored in a decoder Di 
or a chip card, i having the values from 1 to 9 . The root possesses the 
system key SK = K (0,1), while the keys for the other nodes are given. 

The keys stored in the decoder serve for decoding the received 
cryptograms or control words. Each cryptogram can allow a decoder to 
receive programmes, for example along the branch from K(2,l), through 
K(l,l) to SK = (0,1), when the decoder is Dl and the key is K(2,l). 

USE/ADVANTAGE - Suitable for companies operating pay-TV, pay- radio. 
Each decoder can be independently provided with decoding key for range 
of stations. 

Dwg. 1/2 



C: \Program Files\Dialog\DialogLink\Graphics\8E5 .bmp 




K(2.1) K(2,2) K<2.3) K(2.4) K(2,5) KR6) K(2.7) K(£8) K(2,9) 
01 02 ■ 03 040506 07 0609 



w 




bundesrgpublik © Of f enlegu ngsschrif t 

DEUTSCHLANO 195 f 1 298 A 1 





DEUTSCHES 
PATE NT A MT 



® Aktenzeichen: 
(2) Anmeldetag: 
(§) Offenlegungstag: 



19511298.9 
28. 3.95 
2.10. 96 



<g) IntCI.*: 

H 04 N 7/16 

H 04 L 9/32 
H04H 1/00 
H 04 K 1/02 



ID 
O) 



LU 

Q 



© Anmelder: 

Deutsche Telekom AG, 53113 Bonn, DE 

^5) Erfinder: 

Schwenk, Jorg, Dr.rer.nat., 64846 Grofi-Zimmem, DE 

(§5) Fur die Beurteilung der Patentfahigkelt 
in Betracht zu ziehende Druckschriften: 



DE 


38 27 172 C2 


DE 


38 02 612 C1 


DE 


37 17 022 A1 


DE 


35 24 472A1 


DE 


33 25 858 A1 


FR 


26 96 567 


US 


52 31 666 


US 


52 02 921 


us 


48 81 264 


us 


46 61 658 


us 


43 09 569 


EP 


02 87 720 B1 



EP 01 32 401 A2 

JP 6-2 74 398 A 

JP 5-3 27 748 A 

JP 2- 88 859 A 

SANTOSH,CHOKHANI: Toward a National Public 
Key Infrastructure. In: IEEE Communications 
Magazine, Sept. 1994, S. 70-74; 



) Verfahren zur Erteilung und zum Entzug der Berechtigung zum Empfang von Rundfunksendungen und 
Decoder 



^ Bet einem Verfahren und bei einem Decoder zur Erteilung 
und zum Entzug der Berechtigung zum Empfang von 
Rundfunksendungen, die durch Verschlusselung geschutzt 
sind, ist vorgesehen, da& die SchlGssel a Her betroffenen 
Decoder eine Baumstruktur bilden, deren Wurzel ein Sy- 
stemschlGssel zugeordnet ist, der zur EntschlQsseiung eines 
mit der jeweiligen Rundfunksendung empfangenen Kontroil- 
wortes dient, daS den der Wurzel und den einzelnen Knoten 
nachfolgenden Knoten SchlGssel zugeordnet sind, daS den 
Blattern dieses Baumes teste SchlGssel zugeordnet sind, die 
eindeutig einem Decoder oder einem Toil eines Decoders (z. 
B. einer Chipkarte) zugeordnet sind, da& die SchlQssel, die 
jeweils einen Ast der Baumstruktur bilden, In jeweiis einem 
Decoder gespeichert warden und daS die in jeweils einem 
Decoder gespeicherten SchlGssel zur EntschlQsseiung von 
empfangenen Kryptogrammen dienen, welche Anderungen 
der gespeicherten SchlGssel und des gespeicherten System- 
schlussels bewirken, daft diejenigen SchlGssel, die solchen 
Knoten zugeordnet sind, welche einem bestimmten Knoten 
unmittelbar nachfolgen, dazu dienen, Kryptogramme zu 
entschlGsseln. die einen SchlGssel enthalten, der dem 
bestimmten Knoten neu zugeordnet werden soli. 
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Beschreibung 

Die Erfindung betrifft ein Verfahren zur Erteilung 
und zum Entzug der Berechtigung zum Empfang von 
Rundfunksendungen, die durch Verschlusselung ge- 
schutzt sind, mit einem Decoder und einen zur Durch- 
fiihrung des Verfahrens geeigneten Decoder. 

Gebuhrenpflichtige Rundfunksendungen, die auch 
unter den Stichworten Pay-TV, Pay-Radio, bekanntge- 
worden sind, werden mit einem Schlussel CW verschius- 
seit Benutzer werden dadurch zum Empfang berechtigt, 
daB man ihnen den Schlussel (Kontrollwort) CW ver- 
traulich zukommenlaflt Dazu wird im allgemeinen dem 
Benutzer ein personlicher Schlussel PK zur Verfugung 
gestellt, der meist physikalisch gegen Vervielfaltigung 
gesichert, beispielsweise auf einer Chip-Karte gespei- 
chert ist. 

Das Kontrollwort CW wird verschlusselt als Krypto- 
gramm ECM (Entitlement Control Message) Qber einen 
Datenkanal des Rundfunksenders vom Empfanger bzw. 
Decoder empfangen. Durch EntschlQsselung dieses 
Kryptogramms mit Hilfe des personlichen Schliissels 
PK wird das Kontrollwort CW wiedergewonnen. Bei 
dem unter dem Narnen EuroCrypt bekanntgewordenen 
System wird ein weiteres Kryptogramm EMM (Entitle- 
ment Management Message) eines Schliissels SK gesen- 
det. Dieses Kryptogramm kann mit Hilfe von PK ent- 
schlusseit werden. Der so erhaltene Schlussel SK dient 
zur Berechnung von CW aus dem Kryptogramm ECM. 
Dieses Zugangskontrollsystem ist in DIN EN 50094 be- 
schrieben. Sicherheitshaiber wird der Schlussel CW 
haufig gewechselt. 

Eine wichtige Aufgabe des Zugangskontrollsystems 
besteht darin, Benutzern, die ihre Gebuhren nicht be- 
zahlt haben, die Berechtigung zum Empfang der Rund- 
funksendung zu entziehen. Dieses kann einerseits durch 
eine negative Adressierung geschehen, bei welchem an 
den Decoder eine Nachricht geschickt wird, in welcher 
dieser aufgefordert wird, seine Tatigkeit einzustellen. 
Diese Moglichkeit ist jedoch grundsatzlich unsicher, da 
derartige Nachrichten von einem betrugerischen Benut- 
zer abgefangen werden konnen und damit unwirksam 
sind. 

Bei der positiven Adressierung wird eine Abschaitung 
des Decoders dadurch bewirkt, daB die in ihm enthalte- 
ne Information wertlos gemacht wird. Das geschieht 
dadurch, daB alle anderen Decoder neue Informationen 
erhalten, die zum Entschlusseln zukunftiger Rundfunk- 
sendungen unbedingt gebraucht werden, nur der abzu- 
schaltende Decoder nicht 

Das Verfahren der positiven Adressierung fuhrt zwar 
mit Sicherheit zur Abschaitung des Decoders des jewei- 
ligen Benutzers, es ist allerdings mit groBem Aufwand 
verbunden, da zum Abschalten eines Decoders Nach- 
richten an alle anderen Decoder gesendet werden mus- 
sen. 

Der Erfindung liegt die Aufgabe zugrunde, ein Ver- 
fahren zur Erteilung und zum Entzug der Berechtigung 
zum Empfang von Rundfunksendungen vorzuschlagen, 
bei welchem die zur EntschlQsselung erforderlichen In- 
formationen in einem bestimmten Decoder wertlos ge- 
macht werden k6nnen, ohne daB alle anderen Decoder 
einzeln adressiert werden mussen. 

Diese Aufgabe wird erfindungsgemafl dadurch geldst, 

— daB die Schlussel aller betroffenen Decoder eine 
Baumstruktur bilden, deren Wurzel ein System- 
schlQssel zugeordnet ist, der zur Entschlusselung 



11 298 Al 

2 

eines mit der jeweiligen Rundfunksendung empfan- 
genen Kontrollwortes dient, 

— daB den der Wurzel und den einzelnen Knoten 
nachfolgenden Knoten Schlussel zugeordnet sind, 

5 — daB den Blattern dieses Baumes feste Schlussel 
zugeordnet sind, die eindeutig einem Decoder oder 
einem Teil eines Decoders (z. B. einer Chipkarte) 
zugeordnet sind, 

— daB die Schlussel, die jeweils einen Ast der 
io Baumstruktur bilden, in jeweils einem Decoder ge- 

speichert werden und 

— daB die in jeweils einem Decoder gespeicherten 
Schlussel zur Entschlusselung von empfangenen 
Kryptogrammen dienen, welche Anderungen der 

is gespeicherten Schlussel und des gespeicherten Sy- 
stemsschlussels bewirken, 

— dafl diejenigen Schlussel, die solchen Knoten 
zugeordnet sind, welche einem bestimmten Knoten 
unmittelbar nachfolgen, dazu dienen, Kryptogram- 

20 me zu entschlusseln, die einen Schlussel enthalten, 
der dem bestimmten Knoten neu zugeordnet wer- 
den soli. 

Bei 1.000.000 Decodern muBten bei dem bekannten 
25 Verfahren 999.999 Nachrichten ubertragen werden, um 
einen der Decoder zu deaktivieren. Bei dem erfindungs- 
gemaBen Verfahren mit beispielsweise einem 2-aren 
Baum der Tiefe 20 sind etwa nur 40 Nachrichten not- 
wendig. 

30 Zur Verschlusselung der Daten konnen bei dem erfin- 
dungsgemaBen Verfahren sowohl symmetrische als 
auch asymmetrische Verfahren angewendet werden. 

Eine vorteilhafte AusfQhrungsform des erfindungsge- 
maBen Verfahrens besteht darin, daB die Baumstruktur 

35 m-regular ist, wobei m l > n gilt mit m = Zahl der einem 
Knoten oder der Wurzel nachfolgenden Knoten, t — 
Zahl der von Knoten gebildeten Ebenen und n * Zahl 
der Decoder. Dadurch ist eine einfache Zuordnung der 
Kryptogramme, welche Anderungen der gespeicherten 

40 Schlussel bewirken, moglich. 

Zum Entzug der Berechtigung eines bestimmten De- 
coders kann bei dem erfindungsgemaBen Verfahren 
vorgesehen sein, daB 

45 — fur jeden Decoder auBer dem bestimmten Deco- 
der, der zusammen mit dem bestimmten Decoder 
demselben Knoten nachfolgt, ein Kryptogramm 
gesendet wird das den mit dem festen Schlussel des 
Decoders verschlusselten Schlussel enthalt, der 

50 dem gemeinsamen Knoten neu zugeordnet wird, 

— beginnend mit dem Knoten, der dem gemeinsa- 
men Knoten vorausgeht, bis zur Wurzel fiir jeweils 
alle nachfolgenden Knoten aller dem bestimmten 
Decoder mittelbar vorausgehenden Knoten jeweils 

55 ein Kryptogramm gesendet wird, das den mit dem 
Schlussel des jeweils nachfolgenden Knotens ver- 
schlusselten Schlussel enthalt, der dem dem be- 
stimmten Decoder mittelbar vorausgehenden Kno- 
ten neu zugeordnet wird 

60 

Ein vorteilhaf ter Decoder zur Durchf uhrung des Ver- 
fahrens nach einem der vorhergehenden Anspruche ist 
dadurch gekennzeichnet, daB mehrere Schlussel spei- 
cherbar sind, wobei mindestens ein Teil der Schlussel 
65 durch mit den Rundfunksendungen empfangene Kryp- 
togramme, die mit Hilfe eines der gespeicherten Schlus- 
sel entschlusselbar sind, veranderbar sind. 

Ein Ausfuhrungsbeispiel der Erfindung ist in der 
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Zeichnung anhand mehrerer Figuren dargestellt und in 
der nachfolgenden Beschreibung naher erlautert. Es 
zeigt: 

Fig. 1 eine schematische Darstellung der eine Baum- 
struktur bildenden Knoten, denen jeweils ein Schliissel 5 
zugeordnet ist, wobei die Zahl der Decoder gegeniiber 
der Wirklichkeit stark verringert ist, und 

Fig. 2 eine Abfolge von auszusendenden Nachrichten 
zum Entzug der Berechtigung eines bestimmten Deco- 
ders. 10 

Fig. 1 zeigt als Beispiel einen 3-aren Baum der Tiefe 2 
mit Schlusseln, welche den Knoten des Baums zugeord- 
net sind. Die Schlussel K(2,i) sind fest jeweils einem 
Decoder Di bzw. einer Chipkarte zugeordnet In dem 
dargestellten Beispiel gilt i= 1, ... , 9. Der Wurzel des 15 
Baums ist der SystemschlQssel SK «= K(0,1) zugeordnet, 
wahrend den m Nachfolgeknoten desjenigen Knoten, 
dem der Schliissel K(r,s) zugeordnet ist, die Schliissel 
K(r+1, m s - ! + l), ... K(r+1, m s " l +m) zugeordnet 
sind. 20 

Einem Decoder mit dem Schliissel K(m, x) — beim in 
Fig. 1 dargestellten Beispiel K(2,i) — kann die Berechti- 
jng, ein gebuhrenpflichtiges Rundfunkprogramm zu 
cmpfangen, dadurch erteilt werden, daB ihm gultige 
Schliissel auf dem Weg innerhaJb des Baums von K(m,x) 25 
nach K(0,1) mitgeteilt werden. Dazu sind maximal t-1 
Nachrichten mit den Kryptogrammen der jeweils 
nachst hdheren Schliissel notwendig. Einem Decoder 
mit dem Schliissel K(nyc) kann die Berechtigung, ein 
gebuhrenpflichtiges Rundfunkprogramm zu empfan- 30 
gen, dadurch entzogen werden, daB man aile Schliissel 
auf dem Weg von K(m,x) nach K(0,1) ersetzt Dazu sind 
maximal t-m Nachrichten mit den Kryptogrammen der 
neuen Schliissel erforderlich. Die Schliissel, die zur Er- 
teilung oder zum Entzug der Berechtigung ausgetauscht 35 
werden mussen, konnen bei Verwendung einer regula- 
ren Baumstruktur leicht berechnet werden. 

Fig. 2 zeigt eine Folge von Nachrichten, urn den De- 
coder D9 mit Hilfe der in Fig. 1 beschriebenen Baum- 
struktur der Schlussel zu deaktivieren. Jede Nachricht 40 
kann fiber einen RundfunkkanaJ ausgestrahlt werden. 
Sie besitzt eine Adresse und eine Nutziast, die in Fig. 2 
durch einen senkrechten Strich getrennt sind. Mit Hilfe 
^er Adresse erkennt jeder Decoder, ob eine bestimmte 

ipfangene Nachricht von ihm verarbeitet werden 45 
muB. Die Nutziast enthalt ein Kryptogramm, das nur 
von den adressierten Decodern ausgewertet werden 
kann. Dabei bedeutet die Notation A<B>, daB die In- 
formation B mit dem Schliissel A verschlusselt wurde. 
Der Algorithmus zur Entschlusseiung ist im Decoder 50 
bekannt. 

Zeile a der Fig. 2 zeigt eine Nachricht an den Decoder 
D7, mit welchem dieser einen neuen Schliissel K(l,3) neu 
erhalt Der Decoder D8 erhalt ebenfalls den gleichen 
neuen Schliissel, der jedoch in diesem Fall fiber den 55 
Schliissel K(2,8) entschlusselt wird (Zeile b). In der 
Nachricht gemaB Zeile c wird eine Adresse angegeben, 
die den Decodern Dl bis D3 gemeinsam ist und in Fig. 2 
mit Gruppe 1 bezeichnet ist Diese haben gemeinsam 
den Schliissel K(l,l), der zur Entschlusseiung des neuen 60 
Systemschlussels SKneu dient In gleicher Weise wird 
dann fur die Gruppe 2 (Decoder D4 bis D6) und fur die 
Gruppe 3 (Decoder D7 bis D9) der neue Systemschlus- 
sel SKneu Gbertragen (Zeilen d und e). Dabei ist aller- 
dings der Decoder D9 nicht in der Lage, das Krypto- 55 
grammK(l,3)neu <SKneu> zu entschlusseln. Der De- 
coder D9 erhalt somit keine neuen Systemschlfissel 
SKneu und kann die darauf folgend ubertragenen Nutz- 
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signale nicht mehr decodieren. 

Patentanspriiche 



t. Verfahren zur Erteilung und zum Entzug der 
Berechtigung zum Empfang von Rundfunksendun- 
gen, die durch Verschlusseiung geschutzt sind, mit 
einem Decoder, dadurch gekennzeichnet, 

— da3 die Schliissel aller betroffenen Decoder 
eine Baumstruktur bilden, deren Wurzel ein 
SystemschlQssel zugeordnet ist, der zur Ent- 
schlusseiung eines mit der jeweiligen Rund- 
funksendung empfangenen Kontrollwortes 
dient, 

— daB den der Wurzel und den einzelnen Kno- 
ten nachfolgenden Knoten Schliissel zugeord- 
net sind, 

— daB den Blattern dieses Baumes feste 
Schliissel zugeordnet sind, die eindeutig einem 
Decoder oder einem Teil eines Decoders (z. B. 
einer Chipkarte) zugeordnet sind, 

— daB die Schliissel, die jeweils einen Ast der 
Baumstruktur bilden, in jeweils einem Deco- 
der gespeichert werden und 

— daB die in jeweils einem Decoder gespei- 
cherten Schliissel zur Entschlusseiung von 
empfangenen Kryptogrammen dienen, welche 
Anderungen der gespeicherten Schliissel und 
des gespeicherten Systemschlussels bewirken, 

— daB diejenigen SchlQssel, die solchen Kno- 
ten zugeordnet sind, welche einem bestimmten 
Knoten unmittelbar nachfolgen, dazu dienen, 
Kryptogramme zu entschlusseln, die einen 
Schliissel enthalten, der dem bestimmten Kno- 
ten neu zugeordnet werden soil 

2 Verfahren nach Anspruch I, dadurch gekenn- 
zeichnet, daB die Baumstruktur m-regular ist, wo- 
bei in m x >n gilt mit m = Zahl der einem Knoten 
oder der Wurzel nachfolgenden Knoten, t — Zahl 
der von Knoten gebildeten Ebenen und n = Zahl 
der Decoder. 

3. Verfahren nach einem der Anspriiche 1 oder 2, 
dadurch gekennzeichnet, daB zum Entzug der Be- 
rechtigung eines bestimmten Decoders 

— fxir jeden Decoder auBer dem bestimmten 
Decoder, der zusammen mit dem bestimmten 
Decoder demselben Knoten nachfolgt, ein 
Kryptogramm gesendet wird, das den mit dem 
festen Schlussel des Decoders verschlusselten 
Schliissel enthalt, der dem gemeinsamen Kno- 
ten neu zugeordnet wird, 

— beginnend mit dem Knoten, der dem ge- 
meinsamen Knoten vorausgeht, bis zur Wurzel 
fur jeweils alle nachfolgenden Knoten aller 
dem bestimmten Decoder mittelbar vorausge- 
henden Knoten jeweils ein Kryptogramm ge- 
sendet wird, das den mit dem Schlussel des 
jeweils nachfolgenden Knotens verschlussel- 
ten Schlussel enthalt, der dem dem bestimmten 
Decoder mittelbar vorausgehenden Knoten 
neu zugeordnet wird. 

4. Decoder zur DurchfOhrung des Verfahrens nach 
einem der vorhergehenden Anspriiche, dadurch ge- 
kennzeichnet, daB mehrere Schlussel speicherbar 
sind, wobei mindestens ein Teil der SchlQssel durch 
mit den Rundfunksendungen empfangene Krypto- 
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gramme, die mit Hilfe eines der gespeicherten 
Schlussei entschliisselbar sind, veranderbar sind. 
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D7 I 


K(2.7) <K(1,3)neu> 
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D8 I 


K(2,8) <K(1,3)neu> 
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Gruppel 1 


K(1,1)<SKneu> 
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Gruppe2 1 


K(1 ! 2)<SKneu> 
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Gruppe3 1 


K(1,3)neu <SKneu> 
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